Serangan jaringan Internet rumit dan layak diteliti. Serangan tersebut di antaranya adalah DoS (Denial of Service). Serangan DoS mengeksploitasi kelemahan yang terdapat dalam sistem operasi, layanan jaringan dan aplikasi. Indikator serangan DoS di antaranya penyerang menghabiskan sumber daya jaringan sehingga pengguna yang sah tidak dapat mengakses layanan bahkan mengakibatkan jaringan menjadi down. Penelitian ini mengusulkan framework untuk forensik Internet berbasis log yang bertujuan untuk membantu proses penyelidikan dalam mengungkap serangan DoS. Framework dalam penelitian ini terdiri dari beberapa tahapan antara lain : penyimpanan log ke dalam file teks dan basisdata dan pengidentifikasian serangan yang dilakukan berdasarkan panjang header paket tersebut. Paket normal mempunyai panjang header antara 20 byte - 60 byte sedangkan paket tidak normal mempunyai panjang header dibawah 20 byte atau diatas 60 byte. Setelah dilakukan proses identifikasi, log dikelompokkan menggunakan algoritma clustering k-means menjadi tiga level serangan (berbahaya, agak berbahaya dan tidak berbahaya) berdasarkan nomor port dan tcpflags dari paket tersebut. Selain itu peningkatan kinerja proses penyimpanan dan pencarian basisdata log dilakukan dengan teknik partisi basisdata. Pemartisian basisdata dilakukan dengan cara membagi data log secara horisontal menjadi beberapa bagian sesuai dengan jumlah bulan dalam satu tahun. Framework tersebut diimplementasikan dalam mesin NFAT (Network Forensic Analysis Tools). Penelitian ini menggunakan tools DoSHTTP untuk menyerang port 80 dan LOIC (Low Orbit Ion Cannon) untuk menyerang port 80, 443, 21 dan 22. Berdasarkan hasil pengujian mesin NFAT dapat mengelompokkan serangan menjadi tiga level serangan dan menemukan informasi ASN (Autonomous System Number – sekumpulan jaringan IP yang dioperasikan oleh satu atau lebih operator jaringan) penyerang. Dengan demikian, dapat disimpulkan bahwa framework untuk forensik Internet yang diusulkan telah memenuhi tujuan yang telah ditetapkan dalam penelitian ini.

Internet network attacks is complicated and worth to be studied. The attacks include DoS (Denial of Service). DoS attacks exploit vulnerabilities found in operating system, network services and applications. One of Indicators of DoS attacks is attacker spends network resources, so that legitimate users cannot access the service even caused network service being down. This study proposes a framework for Internet forensik based logs to assist in the investigation process reveals DoS attacks. Framework in this study consists of several steps, among others : the storage logs into text files and databases and identification of attacks based on the length of the packet header. Normal packet header has a length of between 20 byte - 60 byte while the packet header is not normal if it has a length below 20 byte or above 60 byte. After the identification process done, logs are grouped using k-means clustering algorithm into three levels of attack (dangerous, rather dangerous and not dangerous) based on port numbers and tcpflags of the package. In addition to the improvement of database storage performance and retrieval process was done by using the log database partitions. Database partitioning is done by dividing the data logs horizontally into sections according to the number of months in a year. The framework is implemented in a machine NFAT (Network Forensic Analysis Tools). This research uses tools DoSHTTP to attack port 80 and LOIC (Low Orbit Ion Cannon) to attack the ports 80, 443, 21 and 22. Based on the results of the testing machine NFAT can classify attacks into three levels of attack and find information ASN (Autonomous System Number - a set of IP networks operated by one or more network operators) attackers. Thus, it can be concluded that the framework for the proposed Internet forensics has met the goals set in this study.

Kata Kunci : framework, forensik, Internet, log, clustering, partisi horisontal